Mengelola ExpressRoute untuk konektivitas Office 365

ExpressRoute untuk Office 365 menawarkan jalur perutean alternatif ke banyak layanan Office 365 tanpa harus melewati semua lalu lintas keluar untuk mengakses internet. Meskipun masih memerlukan koneksi internet untuk mengakses Office 365, rute tertentu yang diiklankan oleh Microsoft melalui BGP ke jaringan Anda akan memilih sirkuit ExpressRoute langsung kecuali jika ada konfigurasi lain di jaringan Anda. Tiga area umum yang dapat dikonfigurasi untuk mengelola perutean ini meliputi pemfilteran awal, keamanan, dan kepatuhan.

Catatan: Microsoft mengubah cara domain perutean Microsoft Peering ditinjau untuk Azure ExpressRoute. Mulai 31 Juli 2017, semua pelanggan Azure ExpressRoute dapat mengaktifkan Microsoft Peering langsung dari konsol Administratif Azure atau melalui PowerShell. Setelah mengaktifkan Microsoft Peering, semua pelanggan dapat membuat filter rute untuk menerima iklan rute BGP bagi aplikasi Dynamics 365 Customer Engagement (Sebelumnya adalah CRM Online). Pelanggan yang memerlukan Azure ExpressRoute untuk Office 365 harus mendapatkan tinjauan dari Microsoft sebelum dapat membuat filter rute untuk Office 365. Harap hubungi tim Akun Microsoft Anda untuk mempelajari cara meminta tinjauan guna mengaktifkan ExpressRoute Office 365. Langganan tidak sah yang mencoba membuat filter rute untuk Office 365 akan menerima pesan kesalahan

Pemfilteran prefiks

Microsoft merekomendasikan agar pelanggan menerima semua rute BGP seperti yang diiklankan dari Microsoft, rute yang disediakan akan menjalani peninjauan dan proses validasi yang ketat untuk menghapus manfaat apa pun pada pengawasan tambahan. ExpressRoute menawarkan kontrol yang direkomendasikan seperti kepemilikan prefiks IP, integritas, dan skala - tanpa pemfilteran rute masuk di sisi pelanggan.

Jika memerlukan validasi tambahan dari kepemilikan rute antar perekanan publik ExpressRoute, Anda dapat memeriksa rute yang diiklankan terhadap daftar semua prefiks IPv4 dan IPv6 IP yang merepresentasikan rentang IP publik Microsoft. Rentang ini menutupi ruang alamat Microsoft secara penuh dan jarang berubah, menyediakan sekumpulan rentang yang andal untuk memfilter yang juga menyediakan perlindungan tambahan untuk pelanggan yang khawatir tentang rute yang tidak dimiliki Microsoft bocor ke lingkungan mereka. Ketika terjadi perubahan yang akan dibuat pada tanggal 1 setiap bulannya, nomor versi di bagian detail halaman akan berubah setiap kali file diperbarui.

Terdapat beberapa alasan untuk menghindari penggunaan rentang alamat URL dan IP Office 365 untuk menghasilkan daftar filter prefiks. Termasuk hal berikut:

  • Prefiks IP Office 365 menjalani banyak perubahan secara rutin.

  • Rentang alamat URL dan IP Office 365 didesain untuk mengelola daftar yang diizinkan firewall dan infrastruktur Proksi, bukan perutean.

  • Rentang alamat URL dan IP Office 365 tidak meliputi layanan Microsoft lainnya yang mungkin dalam lingkup koneksi ExpressRoute Anda.

Opsi

Kerumitan

Ubah kontrol

Terima semua rute Microsoft

Rendah: Pelanggan bergantung pada kontrol Microsoft untuk memastikan semua rute dimiliki dengan benar.

Tidak Ada

Memfilter supernet yang dimiliki Microsoft

Sedang: Pelanggan mengimplementasikan filter prefiks yang diringkas untuk mengizinkan rute yang dimiliki Microsoft saja.

Pelanggan harus memastikan pembaruan yang jarang tercermin dalam filter rute.

Memfilter rentang IP Office 365

Peringatan: Tidak Direkomendasikan

Tinggi: Pelanggan memfilter rute berdasarkan prefiks IP Office 365 yang ditentukan.

Pelanggan harus menerapkan proses manajemen perubahan yang kuat untuk pembaruan bulanan.

Perhatian: Solusi ini memerlukan perubahan yang sedang berlangsung secara signifikan. Perubahan yang tidak diterapkan pada waktunya kemungkinan akan menghasilkan suatu gangguan layanan.

Menyambungkan ke Office 365 menggunakan Azure ExpressRoute didasarkan pada iklan BGP subnet IP tertentu yang mewakili jaringan tempat titik akhir Office 365 disebarkan. Karena sifat alami Office 365 dan jumlah layanan yang membuat Office 365, pelanggan sering kali harus mengelola iklan yang diterima di jaringan mereka. Jika khawatir dengan jumlah prefiks yang diiklankan ke dalam lingkungan Anda, fitur komunitas BGP memungkinkan Anda untuk memfilter iklan ke kumpulan layanan Office 365 tertentu. Fitur ini sekarang sedang dalam pratinjau.

Terlepas dari cara mengelola iklan rute BGP yang berasal dari Microsoft, Anda tidak akan mendapatkan akses khusus apa pun ke layanan Office 365 dibandingkan saat tersambung ke Office 365 melalui sirkuit internet itu sendiri. Microsoft mempertahankan tingkat keamanan, kepatuhan, dan kinerja yang sama terlepas dari tipe sirkuit yang digunakan pelanggan untuk tersambung ke Office 365.

Keamanan

Microsoft merekomendasikan agar Anda mempertahankan kontrol perimeter jaringan dan keamanan Anda sendiri untuk koneksi keluar dan dari ExpressRoute umum serta perekanan Microsoft, yang meliputi koneksi ke dan dari layanan Office 365. Kontrol keamanan harus ada untuk permintaan jaringan yang keluar dari jaringan Anda ke jaringan Microsoft serta masuk dari jaringan Microsoft ke jaringan Anda.

Keluar dari Pelanggan ke Microsoft

Saat komputer tersambung ke Office 365, mereka tersambung ke kumpulan titik akhir yang sama terlepas dari apakah koneksi dibuat melalui sirkuit internet atau ExpressRoute. Terlepas dari sirkuit yang sedang digunakan, Microsoft merekomendasikan agar Anda memperlakukan layanan Office 365 lebih sebagai layanan yang lebih tepercaya daripada tujuan internet generik. Kontrol keamanan keluar Anda harus fokus pada port dan protokol untuk mengurangi paparan dan meminimalkan pemeliharaan yang sedang berlangsung. Informasi port yang diperlukan tersedia di artikel referensi Titik akhir Office 365.

Untuk kontrol tambahan, Anda dapat menggunakan pemfilteran tingkat FQDN dalam infrastruktur proksi Anda untuk membatasi atau memeriksa beberapa atau semua permintaan jaringan ditentukan untuk internet atau Office 365. Mempertahankan daftar FQDN sebagai fitur diliris dan penawaran Office 365 berkembang sehingga memerlukan manajemen perubahan dan pelacakan perubahan yang lebih kuat pada titik akhir Office 365 yang diterbitkan.

Peringatan: Microsoft merekomendasikan agar Anda tidak hanya mengandalkan prefiks IP untuk mengelola keamanan keluar untukOffice 365

Opsi

Kerumitan

Ubah kontrol

Tanpa batasan

Rendah: Pelanggan mengizinkan akses keluar yang tidak terbatas ke Microsoft.

Tidak Ada

Pembatasan port

Rendah: Pelanggan membatasi akses keluar ke Microsoft dengan port target.

Jarang.

Pembatasan FQDN

Tinggi: Pelanggan membatasi akses keluar ke Office 365 berdasarkan FQDN yang diterbitkan.

Perubahan bulanan.

Masuk dari Microsoft ke Pelanggan

Terdapat beberapa skenario opsional yang memerlukan Microsoft untuk memulai koneksi ke jaringan Anda.

Microsoft merekomendasikan agar Anda menerima koneksi ini melalui sirkuit internet dan bukan melalui sirkuit ExpressRoute untuk mengurangi kompleksitas. Jika kepatuhan atau kinerja Anda perlu pendiktean, koneksi masuk ini harus diterima melalui sirkuit ExpressRoute, menggunakan firewall atau proksi terbalik untuk melingkupi koneksi yang diterima dianjurkan. Anda dapat menggunakan titik akhir Office 365 untuk mengetahui prefiks FQDN dan IP yang benar.

Kepatuhan

Kami tidak mengandalkan jalur perutean yang Anda gunakan untuk setiap kontrol kepatuhan kami. Walaupun Anda terhubung ke layanan Office 365 melalui sirkuit ExpressRoute atau internet, kontrol kepatuhan kami tidak akan berubah. Anda sebaiknya meninjau tingkat sertifikasi kepatuhan dan keamanan yang berbeda untuk Office 365 guna mencari tahu pilihan terbaik untuk memenuhi kebutuhan organisasi Anda.

Berikut adalah tautan singkat yang dapat Anda gunakan untuk kembali: https://aka.ms/manageexpressroute365.

Topik terkait

Jaringan pengiriman konten
Rentang alamat IP dan URL Office 365
Mengelola titik akhir Office 365
Pelatihan Azure ExpressRoute untuk Office 365

Kembangkan keterampilan Office Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung ke Office Insiders

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×